Dvldr32蠕虫的防范措施

2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32蠕虫)在网络上传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大的破坏。目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,而且类似的蠕虫攻击有可能再度发生,有必要引起进一步的关注。


1. 易受感染的系统
Microsoft Windows 2000, Windows ME, Windows XP,Windows9x.

2. 蠕虫利用系统漏洞
弱口令,比较典型的是管理员(administrator)口令为空

3. 主要危害
计算机感觉Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP445端口),如果目标机器上存在弱口令账号(如:administrator 账号口令为空),蠕虫便会利用该账号将自身远程注入到目标系统中。该蠕虫会在感染的系统上留下可以远程控制的后门(TCP5800,TCP5900),并通过互联网聊天协议(IRC,TCP目标端口6667)与境外的服务器进行通信。
该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量TCP445端口的扫描、TCP6667端口通信。另外,网络流量监测结果表明IP协议字段为255(IP头标的第9个字节)的流量境大也与Dvldr32蠕虫的感染有关。

4. 计算机用户的检测手段
如果出现以下特征之一,可以认为系统已经被感染:
(1) 如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染;
(2) 登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP5800和5900端口,那么你的系统可能被感染了,如下所示:
C: \>netstat.exe -n
Active Connections
Proto Local Address Foreign Address State
TCP x.x.x.x:1043 149.156.91.2:6667 CLOSE_WAIT
TCP x.x.x.x:1045 198.65.147.245:6667 CLOSE_WAIT
…………
TCP x.x.x.x:4811 198.65.147.245:6667 CLOSE_WAIT
TCP x.x.x.x:4887 149.156.91.2:6667 CLOSE_WAIT
(3) 如果系统目录下出现了以下文件,那么你的系统可能被感染了:
C: \>dir/O:D winnt\system32
C: \winnt\system32的目录

2003-03-07 02:23 745,984 Dvldr32.exe
2003-03-08 19:53 61,440  PSEXESVC.EXE
2003-03-08 22:38 684,562 inst.exe
2003-03-08 22:38 36,352  psexec.exe

C:\>dir winnt\fonts /O:D
……
2002-11-06 17:07 212,992 explorer.exe
2002-11-06 17:58 29,336 rundll32.exe
(4) 检查注册表,如果增加了如下键值,则你的系统已经被感染了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explore"="C:\\WINNT\\Fonts\\exelpore.exe"
"messenger"="C:\\WINNT\\system32\\Dvldr32.exe"

5. 计算机用户的控制手段
(1) 为administrator设定安全的口令,检查其他所有用户口令的安全性;
(2) 终止名为dvldr32.exe和rundll32.exe的进程;
(3) 删除以下文件(%windir%)是windows nt/2000的根目录,比如:C:\winnt):
%windir%\system32\dvldr32.exe
%windir%\fonts\explorer.exe
%windir%\fonts\omnithread_rt.dll
%windir%\fonts\VNCHooks.dll
%windir%\fonts\rundll32.exe
%windir%\system32\cygwin1.dll
%windir%\system32\INST.exe
(4) 清理注册表,删除4(4)中所提到的注册表中的键值
(5) 重新启动计算机


为防止类似事件发生,我们向Windows用户或系统管理员建议以下最基本的安全措施:

(1) 为操作系统安装最新的补丁;

(2) 为所有用户选择安全的、不用易猜测的口令;

(3) 如果安装了SQL SERVER也要加装相应补丁;

(4) 安装防毒软件,并及时更新病毒定义码(最好每天一次);

(5) 建议安装单机防火墙软件,并关闭不必要的端口;

(6) 在安装补丁软件和防毒软件等时,要拔掉网线,安装完毕后再插上。